Azure OpenAI RBAC roles
Estos roles de RBAC están disponibles para asignar a identidades para el servicio Azure OpenAI:
- El rol Usuario de OpenAI de Cognitive Services permite ver recursos, puntos de conexión e implementaciones de modelos, usar experiencias de área de juegos y realizar llamadas API de inferencia. Sin embargo, no permite crear recursos, ver, copiar o regenerar claves ni administrar implementaciones de modelos.
- El rol Colaborador de OpenAI de Cognitive Services incluye todos los permisos de usuario, además de la capacidad de crear modelos personalizados optimizados, cargar conjuntos de datos y administrar implementaciones de modelos. No permite crear nuevos recursos ni administrar claves.
- El rol Colaborador de Cognitive Services permite crear nuevos recursos, ver y administrar claves, crear y administrar implementaciones de modelos y usar experiencias de área de juegos. No permite el acceso a cuotas ni realizar llamadas API de inferencia.
- El rol Lector de usos de Cognitive Services permite ver el uso de cuota en una suscripción. Este rol proporciona acceso mínimo y normalmente se combina con otros roles.
Elija siempre un rol que proporcione la menor cantidad de privilegios necesarios para que la identidad realice las tareas que necesita realizar. Para saber más sobre los roles RBAC de Azure OpenAI.
Configuración de asignaciones de roles en Azure Portal
Para habilitar la autenticación sin claves, siga estos pasos para configurar las asignaciones de roles necesarias:
- En Azure Portal, vaya al recurso específico de Azure OpenAI.
- En el menú de servicio, seleccione Control de acceso (IAM).
- Seleccione Agregar asignación de roles. En el panel que se abre, seleccione la pestaña Rol.
- Seleccione el rol que desea asignar.
- En la pestaña de Miembros de , seleccione un usuario, grupo, principal del servicio o identidad administrada para asignarlo al rol.
- En la pestaña Revisar y asignar, confirme las selecciones. Seleccione Revisar y asignar para finalizar la asignación de roles.
En unos minutos, al usuario o la identidad seleccionados se le concede el rol asignado en el ámbito elegido. Después, el usuario o la identidad pueden acceder a los servicios de Azure OpenAI sin necesidad de una clave de API.
Configuración de asignaciones de roles en la CLI de Azure
Para configurar las asignaciones de roles mediante la CLI de Azure, realice estos pasos:
Busque el rol para el uso de Azure OpenAI. En función de cómo quiera establecer ese rol, necesitará el nombre o el identificador:
- Para la CLI de Azure o Azure PowerShell, puede usar un nombre de rol.
- Para Bicep, necesitas el ID de rol.
Use la tabla siguiente para seleccionar un nombre de rol o un identificador de rol:
Caso de uso Nombre del rol Identificación de rol Asistentes Colaborador de Cognitive Services OpenAI a001fd3d-188f-4b5d-821b-7da978bf7442 Finalizaciones de chat Usuario de OpenAI de Cognitive Services 5e0bd9bd-7b93-4f28-af87-19fc36ad61bd Seleccione un tipo de identidad que se va a usar:
- Una identidad personal está vinculada al inicio de sesión de Azure.
- Una identidad administrada es gestionada por Azure y se crea para su uso en Azure. Para esta opción, cree una identidad administrada asignada por el usuario. Al crear la identidad administrada, necesita el identificador de cliente (también denominado id. de aplicación).
Identifique su identidad personal y use el ID como valor de
<identity-id>en este paso.Para el desarrollo local, para obtener su propio identificador de identidad, use el siguiente comando. Debe iniciar sesión con
az loginantes de usar este comando.az ad signed-in-user show \ --query id -o tsvAsigne el rol RBAC a la identidad del grupo de recursos. Para conceder permisos de identidad al recurso mediante RBAC, asigne un rol mediante el comando de la CLI de Azure
az role assignment create. Reemplace<identity-id>,<subscription-id>y<resource-group-name>por los valores reales.az role assignment create \ --role "Cognitive Services OpenAI User" \ --assignee "\<identity-id>" \ --scope "/subscriptions/\<subscription-id>/resourceGroups/\<resource-group-name>"